A biztonságos böngészésről

Az internet veszélyes hely, ahol nem csak hamis ajánlatokkal és vírussal fertőzött, tört programokkal találkozik az ember, ezért ma a biztonságos böngészés lehetséges eszközeiről írok. Egy későbbi alkalommal fogok beszámolni néhány rosszul konstruált honlapról, ahol az itt adott (helyes és általános) irányelvek a működést megakadályozhatják, a legkirívóbb esetekben példával szolgálva a működés érdekében megbütykölt konfigurációra (vö. workaround).

Biztonságos böngészés, magyarul alliteráció (az angolul alliteráló biztonságos szex, safe sex mintájára). Az itt ismertetett támadási és hozzájuk tartozó védelmi módszerek nagy része a NoScript Firefox bővítmény honlapjáról származik.

Reklámok

Az hétköznapi (és rendeltetésszerű[1]) böngészés megkeserítője a sok reklám, villogó animáció. Ezek a felhasználói közösségek által összeállított listák alapján hatékonyan szűrhetők, így a böngésző ezeket a grafikus elemeket le sem tölti, a sávszélesség fellélegezhet. Az egyik ilyen bővítmény az AdBlock Plus melyhez telepíthető az Element Hiding Helper, ami egyedi blokkolási szabályok készítését segíti ugyanis a kevésbé ismert honlapokon a reklámok más elrendezésben jelenhetnek meg, amik a központi listában nem szerepelnek. A bővítmény elrejtheti a honlap szöveges részébe ágyazott elkülönülő, de csak szöveget tartalmazó hirdetéseket is. Itt a letöltés sajnos nem gátolható meg, hiszen az olvasni kívánt szöveggel együtt érkezik a hirdetés szövege, így sávszélesség nyereség nincs, de a honlap esztétikusabban néz majd ki, nem zavarnak kéretlen akciós ajánlatokkal. Például a Gmail-ben oldalt megjelenő adaptíven választott hirdetések elrejthetők, letisztultabb lesz a kezelőfelület.

Nem az, aminek kinéz

A reklámok után néhány kifinomultabb módszerről szeretnék szólni. Néhány ötletes hamisítási, megtévesztési és támadási kísérletet gyűjtök össze a teljesség igénye nélkül.

Hamisítás

Itt legelőször – mert potenciálisan a legnagyobb anyagi következményekkel járhat – a hamis weblapokról kell szót ejteni. Valószínűleg többen hallottak róla, hogy 2004-től az angol ábécében nem szereplő betűk (cirill, kínai, görög) is használhatóak internetcímekben.[2] Ez lehetővé teszi, hogy a GOOGLE név G00GLE (nagy O betűket nullákkal helyettesítettem) típusú átírás helyett képernyőn teljesen azonosan megjelenő változatok alakuljanak ki: gοοgle.com két görög omikront használva a rövid o betűk helyett vagy otрbank.hu, ahol a pé betűt a cirill er betűvel helyettesítve. Technikailag ilyen címek regisztrálásának és a hozzájuk tartozó tanúsítvány[3] megszerzésének csak a regisztrátorok és hitelesítő vállalatok ébersége szab határt. Egy megfelelően elkészített hamis honlap pont úgy néz ki, mint az eredeti, sőt továbbíthatja az adatokat az eredetihez. Így minden műveletet a valóságban elvégezhetünk vele, miközben illetékteleneknek adjuk ki a jelszavunkat. A védekezés egyszerű: blogokban portálokon ne klikkeljünk a bankunkra (ill. adatainkat, pénzünket kezelő cégekre) mutató hivatkozásra. Gépeljük be a címet magunk a böngésző címsorába ügyelve arra, nehogy hibázzunk a gépelés során – ebben az automatikus kiegészítés segít a gyakran látogatott oldalak esetén. Hosszú távon még gyorsabb a könyvjelzők használata.

Mire is klikkeltem?

Kevésbé veszélyes, de internetes életünk nyomonkövetését teszi lehetővé a klikkelés. Szakmai szemmel nézve egy klikkelés jóval bonyolultabb egy pillanatszerű eseménynél. Tekintsük a következő diagramot:

 

 

Megszoktuk, hogy a böngésző állapotsorában megjelenik a hivatkozás címe, ha az egeret a hivatkozás fölé visszük, és hogy ilyenkor klikkeléssel közvetlenül az adott címre jutunk. A tartalomszolgáltatók viszont szeretnének információt szerezni a meglátogatott hivatkozásokról, például fizetős reklámoknál statisztikát vezetni. Mindkettőt megvalósíthatják egy egyszerű trükkel: a kiírt hivatkozás az, ahová el fogunk jutni, de a gomb lenyomásának pillanatában megváltozik a tartalomszolgáltató egyik átirányító oldalára. Itt ő előbb regisztrálja, mire klikkeltünk, majd pedig továbbküld a hivatkozás címére, ha ő valóban oda akar küldeni. A hivatkozás gombnyomásra való kicserélését egy JavaScript kódrészlet végzi, amit a tartalomszolgáltató elhelyez a saját oldalán.

Ennél agresszívebb megoldás egy nagyméretű átlátszó hivatkozás elhelyezése: bárhová klikkelünk is, oda jutunk. A felhasználók megtévesztésére alapoznak olyan gyorsasági játékokat, amelyeknél egyszer csak egy futtatható állomány letöltését kezdeményezik, és oda kell klikkelni a játékban, ahol a letöltés ablak majd megjelenik: a felhasználónak nincs ideje mérlegelni. Megoldást jelent, hogy a modern böngészők a letölthető bővítmények telepítése előtt megjelenítik a letöltés ablakot, amiben pár másodpercig még nem lehet az „Igen”-re klikkelni.[4]

Hivatkozás eltérítése (URL hijacking, XSS cross site scripting)

Bizonyos oldalak hivatkozásban kapnak feldolgozandó információt, például a Google a keresendő kifejezést, egy napilap a megnyitandó cikk címét. Ha a weblap nem megfelelően kezeli ezt a szöveget, akkor egy rosszindulatú támadó készíthet olyan hivatkozást, amelyre klikkelve a böngésző a támadó programkódját hozzáadja a meglátogatott oldalhoz, ezzel a valódi oldalon megadott felhasználónevünket és jelszavunkat megszerezheti.[5] A szöveges paraméterek kezelését megnehezíti a modern karakterkódolás, ami egyes betűk tárolására különböző méretű memóriaterületet használ.

Digitális támadás

Egyre többféle médiát lehet egyre többféle böngészőben és operációs rendszer alatt lejátszani. Mind a Windows, mind a Unix tábor több biztonsági hiányosságot megélt már, amit kihasználva egy megfelelően elkészített videó tetszőleges programkódot lehetett futtatni ugyanolyan fájl írási és olvasási jogosultságokkal, mint magát a böngészőt.[6]

Védekezés

Az itt említett interaktív támadások ellen jó védelmet nyújt a NoScript kiegészítő amely megfelelő beállítások esetén meggátolja a felesleges vagy veszélyes parancsfájlok futtatását. Azt javaslom, mindenki olvassa el az egyes pontok leírását és indoklását, de ha az túl hosszú volna, akkor az alapértelmezett beállításokhoz képest átlagos felhasználás esetén azt az engedményt javaslom, hogy a NoScript beállításai közt az Általános fülön a „Legmagasabb szintű webhelyek ideiglenes engedélyezésé”-t is válasszuk ki.

Ma sok biztonsági rést és védekezési módszert megismertünk. Mindezek után az említett kiegészítők használata során szükséges lehet még azok finomhangolása. Néhány kirívó esetről, ahol a weblap készítői hibásan jártak el egy következő cikkben fogok írni és hozok példát olyan beállításokra, amikkel ezek az oldalak is működésre bírhatóak a biztonsági követelményeink megtartása mellett.

 


[1] értsd: tájékozódás és munka célú

[2] Használatukkor a címeket a böngésző a háttérben lefordítja hosszabb, az ékezetes változatot körülíró címre. 2009-től a felső szintű (.com, .hu) doménekben is létezik megfelelője.

[3] Tanúsítványt állíthat ki például a VeriSign amerikai hitelesítő, ilyen tanúsítvány igazolja, hogy valóban az OTP honlapján járunk és titkosított kapcsolatot használunk (kis lakat szimbólum a böngészőben).

[4] A hivatalos indoklás szöveg begépeléses példát hoz.

[5] Leírás a NoScript honlapján.

[6] Példákért keressünk az „arbitrary code execution” kifejezésre a médialejátszó nevével kapcsolatban.

 

Tags: 

Új hozzászólás